2006安全漏洞标志年

尽管今年还没有结束，但2006年已经在安全漏洞方面已经创下了记录。

不过，在不幸中的万幸是这些漏洞中只有一小部分是高危漏洞。

去年，互联网安全系统（Internet Security Systems(ISS)）的研究者一共发现了5195个软件漏洞；而根据一家美国的公司的统计，这一数字已经达到了5450；另外，根据一家位于亚特兰大的公司的统计，今年发现的漏洞总数量已经达到了7500个。

“仅仅计算今年前三个季度的统计数字，2006年就已经在安全漏洞方面有了巨大的跨越，”Gunter Ollmann说，他是ISS的研究与开发小组X-Force的主管。

Ollmann说，bug数量的增加是因为bug猎手和软件制造商在发现bug方面的技术更加娴熟，而且自动审核工具也有了很大改善。当然，现在的代码数量也比以前多了很多，因为人们使用了比以往更加复杂的软件。

IBM正在收购位于这家位于亚特兰大的ISS。ISS预测，与2005年相比，2006年发现的安全漏洞增加了41％，而2005年比2004年增加了37％。

当然也有些好消息：尽管安全漏洞的总数增加了很多，但是“危急”和高危漏洞的数量有所降低，Ollmann说。

根据Ollmann提供的数据，去年发现的高危漏洞占所有安全漏洞的28.4％，相比而言，到目前为止，今年发现的安全漏洞中高危漏洞则只有17％，估计今年整年的高危漏洞比例和去年差不多。

“这可能是安全漏洞趋势中最积极的部分了，” Ollmann说，“在过去几年中，危急和高危漏洞的比例一直在上升。”

ISS对软件漏洞趋势的描述得到了其它安全公司的支持。VeriSign的iDefense和eEye的Digital Security都表示他们也在今年观察到了软件漏洞数量的增长。

软件漏洞增长的另外一个迹象也可以从微软的安全公告牌得到体现，微软在今年的前三季度一共发布了55项安全补丁，而2005年全年只发布了45项。

而且，Symantec公司在其网络安全威胁报告中指出，在今年的前六个月中一共记录了2249个新的漏洞，比2005年下半年增加了18％，这是在半年度的记录中最高的数字了，这些新漏洞中有8％是非常容易被攻击者利用的，而企业级产品漏洞的时间窗口一般是28天。

专家认为安全漏洞的增多为网络犯罪提供了更多的机会，这会让创建和应用安全补丁的人感到更加头疼。

“你需要防范每一种漏洞造成的可能的攻击，而攻击者只需要找到一种方法进行攻击就行了。” Ollmann说。

因此，“暴露出的安全漏洞越多，用户就越危险。”

安全人员的热身

危急和高危漏洞指的是那些自我扩散的网络蠕虫，或匿名的攻击者可以在远程控制用户计算机的漏洞等等。这类漏洞的比例有所下降，而且ISS项目还观察到，这类漏洞的绝对数字也在下降，预计今年全年的危急和高危漏洞有1265个，而去年是1475个。

危急和高危漏洞的数字下降可以部分归功为软件质量的提升。

“软件正在变得更安全，” Ollmann说，“而且，很多bug猎手已经开始使用一些自动化的工具，他们将这些工具称为'fuzzer'（警员），这些工具发现的问题一般都属于中等危害程度的漏洞。”

例如，一个“警员”工具可以用来测试一个软件对某一文件格式的处理，比如JPEG和GIF的图片文件，如果该软件，比如是一个网络浏览器，返回了一个错误，那么这个错误可能和一个潜在的漏洞相关，攻击者可以利用这个漏洞展开攻击，当然，为了利用这个漏洞，攻击者需要欺骗受害者打开这样的文件。

高危漏洞在操作系统中发现的并不多，Steve Manzuik说，他是eEye公司的代表，然而，在其它类型的软件中，有很多这类漏洞还没有被发现。

“我们发现在客户端软件上的漏洞有增长的趋势，比如微软的IE网络浏览器、QuickTime和办公软件等。”他说。

目前高危漏洞的状态可能只是短暂的，Ollmann说，当新的软件产品发布时，高危漏洞的数字可能会出现一个峰值。明年一月，微软将发布Windows XP的继承者，Windows Vista，微软称Vista是“迄今为止最安全的Windows操作系统”。

“我想在2007年的上半年，我们会看到危急漏洞和高危漏洞的比例上升很多，” Ollmann说，“Vista的发布为这一数据的增加提供了最大的可能性。”

人们需要担心的不仅仅是最具威胁的危急漏洞和高危漏洞，Ken Dunham说到，他是iDefense快速响应小组的主管。

“今年，零日攻击（zero-day attacks）达到了空前的水平，”他说，“现在有很多中等级别的漏洞，其中不少漏洞被利用，成了攻击的途径。”

零日攻击利用了已知的但尚未修正的漏洞，很多零日攻击正是利用了警员工具所发现的安全漏洞。

这种利用中等级别漏洞的攻击可以分为两类，很多恶意网站在用户没有察觉的情况下将间谍软件和恶意软件安装到用户的电脑上，比如击键记录程序等，Dunham说，还有一些公司成了攻击的对象，攻击者使用小规模的攻击方式，比如非法操纵该公司的Word文档等等。

“消费者可以为防备网络做准备，但是如果一个公司成了某种攻击的目标，很有可能引起恐慌。” Dunham说。

责任编辑：张琎

查看本文国际来源